Hace unos meses iba rumbo al Valle de Guadalupe para una conferencia con ejecutivos: CTOs, CFOs, CMOs… la mesa completa. El plan era hablar de inteligencia artificial. El destino decidió que empezaría antes.
En la camioneta me senté junto a un CTO del sector energético. No puedo decir su compañía, pero sí su cara cuando me contó lo que vivieron el año pasado: un intento de fraude usando un deepfake de su director general.
Una llamada de WhatsApp.
Una voz idéntica. Un “pásame esas claves, urge”.
Lo escuché con la misma sensación que tenía cuando de niño vi a T-1000 imitar voces en Terminator 2: esa mezcla incómoda entre asombro y peligro.
Solo que ahora no era ficción.Y no era 1991.Era su empresa. En 2024.
Ese caso ya no es una excepción. Es síntoma.
Las cifras lo dejan claro: el phishing generado con IA creció más de 1,200% desde 2023. Los correos fraudulentos subieron 160% solo en el arranque del segundo semestre de 2025. El vishing —las llamadas con voces clonadas— aumentó 442%. Y Latinoamérica registró más de 1,291 millones de intentos de estafa en un año. Una epidemia digital sin vacunas rápidas.
Y mientras escribo esta columna, no puedo evitar pensar en esa época en la que la mayor estafa digital era un correo de un príncipe nigeriano. Indudablemente, pecábamos de inocentes.
Hoy, un clon tuyo puede pedirle a tu equipo una transferencia a las 8:13 de la mañana, con tu tono, tu velocidad y tu respiración. Y si te descuidas, hasta con tus muletillas.
La pregunta real no es “¿cómo nos protegemos de los deepfakes?”.
La pregunta es:¿qué pasa cuando ya no podemos confiar en lo que escuchamos ni en lo que vemos?
Porque sí, biométricos, prueba de vida, doble factor… todo eso ayuda. Pero la IA ya aprendió a imitar nuestras voces, nuestros gestos y hasta nuestras pausas. Cada vez que jugamos con una app que “clona” nuestra cara o nuestra voz, estamos regalando más material para que eso ocurra.
¿Alternativas?
Por eso están surgiendo nuevas capas de autenticación que no dependen de la apariencia, sino del origen. Una de las más interesantes —y que ya se está usando en México— es la autenticación desde la red.
La idea es simple y poderosa:
no se trata de verificar “si pareces tú”, sino de verificar si estás entrando desde la línea que realmente es tuya.
Empresas como IDLayr están llevando esto a los bancos: usar el chip físico o virtual del teléfono como llave imposible de clonar. Algo tan cotidiano como la SIM —o la eSIM— se vuelve una credencial física que la IA no puede imitar (o eso promete). Es la versión moderna del candado que hizo desaparecer la clonación de tarjetas cuando pasamos de banda magnética a chip.
Y ojo, no es la única alternativa emergente.
Viene una mezcla interesante:
– Biometría reforzada que ya no solo reconoce tu cara, sino tu microexpresión y tu pulso.
– Autenticación conductual que detecta cómo escribes, cómo te mueves, cómo presionas la pantalla.– Credenciales descentralizadas que te pertenecen a ti, no a un servidor.– Y estas nuevas capas basadas en red que validan presencia, no apariencia.
Lo más llamativo es que todas estas soluciones ya están aquí. No estamos hablando de tecnologías “en fase experimental”. La autenticación desde la red ya funciona en instituciones financieras mexicanas y ha logrado un dato que suena casi irreal: instalaciones fraudulentas reducidas a cero. Cuando escuché eso, recordé cuántas veces un directivo me ha dicho “a mí ya me clonaron a un CFO”. La urgencia es real.
Lo dije en aquella camioneta y lo repito ahora: el riesgo no es la IA.
El riesgo es seguir operando como si el deepfake fuera un truco raro de TikTok y no una herramienta industrializada de fraude.
Y aquí va el consejo no pedido de hoy:
Si tu empresa sigue usando solo contraseñas, videollamadas y “¿me confirmas por voz?”… no tienes un protocolo de seguridad.
Tienes nostalgia.
La identidad del futuro no se va a validar con una sonrisa frente a la cámara.
Se va a validar con capas que no puedan clonarse, aunque un criminal tenga tu cara, tu voz y tu historial completo de WhatsApp.
Porque hoy la pregunta ya no es “¿me van a intentar clonar?”.
La pregunta es:¿mi empresa puede distinguir entre mí… y mi copia digital?
